Вопросы построения и эксплуатации современной виртуализированной сети являются важнейшими для специалистов в области центров обработки данных. Эта тема активно обсуждалась на прошедшем в 2014 году традиционном форуме «МИР ЦОД». Значительное внимание было уделено и актуальным тенденциям отрасли: виртуализации и программно определяемым сетям (SDN), продуктам для построения сетевой инфраструктуры центров обработки данных — LAN и SAN, а также организации коммуникаций между удаленными площадками и созданию распределенных центров данных.
Практическую значимость предлагаемых вендорами решений участники форума могли оценить в ходе многочисленных семинаров и мастeр-классов. В этом материале — рассказ о двух решениях, которые были представлены на семинарах, проведенных компаниями Nuage Networks и Brocade.
ВИРТУАЛИЗАЦИЯ ОТ NUAGE
Сетевые инфраструктуры становятся узким местом при «переходе» к виртуализованным ИТ и облачной модели получения ИТ-сервисов. Динамичная среда виртуальных машин (ВМ) очень плохо соотносится со статическими сетями, в которых используются протоколы (например, VLAN и STP), применявшиеся в них и пять, и десять лет назад.
Йонас Вермелен, руководитель продуктового направления компании Nuage Networks (дочернее предприятие Alcatel-Lucent) в регионе EMEA, предложил рассмотреть типовую задачу по развертыванию нового приложения или внедрению нового сервиса, состоящего из нескольких функциональных компонентов, размещенных в разных подсетях. Раньше для этого требовалась установка новых серверов, что занимало несколько недель. Современные системы виртуализации серверных ресурсов позволяют выделить необходимые новому приложению или сервису виртуальные машины с нужной производительностью за считанные минуты.
Однако соответствующая подготовка сети занимает гораздо больше времени. Конфигурирование различных типов сетевых устройств часто происходит вручную и требует привлечения большого числа специалистов: один занимается локальной сетью, другой — территориально распределенной, третий — настройкой VLAN, четвертый — конфигурированием межсетевых экранов и т. д. Как результат, все преимущества виртуализации серверов в части ускорения внедрения приложений сводятся на нет «медлительностью» традиционных процедур настройки сети.
Решить проблему позволяют новые технологии виртуализации сети, которые сейчас активно разрабатывают и выводят на рынок многие производители (см. Рисунок 1). Одно из наиболее зрелых решений, которое уже развернули в своих сетях несколько зарубежных компаний, предлагает Nuage Networks. Оно поддерживает большинство основных гипервизоров (KVM, Xen, ESXi), систем оркестрации (включая VMware, OpenStack, CloudStack) и работает поверх сетевой инфраструктуры, построенной на оборудовании любого производителя. На форуме «МИР ЦОД – 2014» вендор провел практический семинар и продемонстрировал основные функции и преимущества этого решения.
.png "Рисунок 1. Современные подходы к виртуализации сети предполагают дополнительную инкапсуляцию трафика и формирование полносвязной сети наложенных туннелей поверх физической инфраструктуры.") |
| Рисунок 1. Современные подходы к виртуализации сети предполагают дополнительную инкапсуляцию трафика и формирование полносвязной сети наложенных туннелей поверх физической инфраструктуры. |
Решение Nuage Networks Virtualized Services Platform (VSP) состоит из трех основных элементов (см. Рисунок 2):
- каталога виртуализированных сервисов (Virtualized Services Directory, VSD);
- агентов виртуальной маршрутизации/коммутации (Virtual Routing & Switching, VRS);
- контроллеров виртуализированных сервисов (Virtualized Services Controller, VSC).
.png "Рисунок 2. Общая структура решения Virtualized Services Platform (VSP) компании Nuage Networks.") |
| Рисунок 2. Общая структура решения Virtualized Services Platform (VSP) компании Nuage Networks. |
Каталог VSD обеспечивает высокий уровень абстракции. Он позволяет описать сетевые структуры пользователей облачной сети и предоставить возможность администраторам самостоятельно управлять сетевыми ресурсами в заданных границах. Важнейшей функцией VSD является создание шаблонов сетевых политик, не связанных со спецификой аппаратного устройства сети. В дальнейшем, при запуске конкретного экземпляра виртуализированного приложения, на основе заданного шаблона создается описание конфигурации его сети. Например, отдельный шаблон можно создать для приложений (виртуальных машин), помещаемых в «демилитаризованную» зону, доступ в которую может осуществляться только по TCP и только через протокольный порт 80.
Агенты VRS отвечают за управление виртуальными сетевыми интерфейсами в соответствии с заданными шаблонами (политиками) и работают под управлением наиболее распространенных гипервизоров. Они инкапсулируют генерируемый виртуальными машинами трафик и передают его между конечными точками (гипервизорами) по туннелям. Таким образом, поверх физической инфраструктуры сети формируется наложенная сеть типа «фабрика».
Агенты VRS получают инструкции относительно того, что делать с конкретным трафиком, от контроллера VSC, отвечающего за целостную работу и представление общей топологии многопользовательской сети. Поскольку этот контроллер использует ту же операционную систему SROS, что и линейка сервисных маршрутизаторов Alcatel-Lucent 7×50, на базе которой работают ряд крупнейших в мире IP-сетей, он способен управлять полнофункциональной маршрутизацией (на уровнях L2-L4) для тысяч пользовательских подсетей.
При запуске виртуальной машины, выполняющей роль одного из функциональных компонентов виртуализированного приложения, контроллер VSC по запросу от VRS получает из базы данных VSD экземпляр шаблона (instance). Затем этот шаблон загружается в контроллер, автоматически настраивающий все сетевые элементы, которые могут быть задействованы в обслуживании данного приложения. Ручное переконфигурирование отдельных сетевых устройств исключается.
Шаблон, в котором определены сетевая конфигурация и правила обработки трафика конкретного приложения, остается привязан к соответствующим виртуальным машинам вне зависимости от их перемещений. Они могут располагаться в одном ЦОД или в нескольких, перемещаться между физическими серверами и территориально удаленными площадками — виртуальная сеть будет автоматически подстраиваться. Йонас Вермелен проводит следующую аналогию: «Если традиционная почта всегда доставляется в конкретное физическое место, то электронная сегодня доставляется на ПК, ноутбук и/или смартфон независимо от того, где вы находитесь».
Ускорение интеграции виртуализированного приложения/сервиса в сеть, поясняет он, достигается за счет создания шаблона, в котором указываются требования к сети, включая конфигурацию подсетей, параметры качества обслуживания (QoS), настройки безопасности и пр. Позже администратор может многократно тиражировать его при развертывании экземпляров виртуализированного приложения/сервиса.
На практическом семинаре специалисты Nuage Networks развернули демонстрационную сеть, в состав которой входили хосты с двумя типами гипервизоров: ESXi (под управлением VMware vCenter) и KVM (под управлением OpenStack Havana). С помощью средств VSD было продемонстрировано формирование структуры наложенной сети (разделение ее на зоны, подсети), после чего подобные действия были выполнены с применением системы OpenStack — соответствующие изменения автоматически появились в каталоге Nuage VSD.
Затем виртуальные машины были запущены на хостах с гипервизорами KVM и ESXi (в последнем случае через vCenter). Они помещались в те зоны (подсети), которые обеспечивали необходимые им параметры обслуживания. Трафик между гипервизорами разных типов (KVM и ESXi) передавался в режиме L3 — то есть с маршрутизацией.
Наиболее востребованный сценарий — «живая» миграция виртуальных машин с одного хоста на другой (см. Рисунок 3). Эта процедура была инициирована из системы управления vCenter, а сеть автоматически перенастроилась для обслуживания ВМ на новом месте. Шаблон, определяющий правила обработки трафика приложения, автоматически следует за виртуальной машиной при ее переезде. При этом никакого вмешательства администратора не требуется. Более того, виртуальную сеть можно растянуть по VPN через территориально распределенную сеть (WAN) до офисной сети компании. Эта функциональность тоже была продемонстрирована специалистами Nuage Networks.
.png "Рисунок 3. Схема демонстрационной сети, представленной Nuage Networks на форуме «МИР ЦОД – 2014». Показана «живая» миграция виртуальных машин с одного хоста на другой.") |
| Рисунок 3. Схема демонстрационной сети, представленной Nuage Networks на форуме «МИР ЦОД – 2014». Показана «живая» миграция виртуальных машин с одного хоста на другой. |
Учитывая тот факт, что не все подключенные к сети устройства поддаются виртуализации, решение Nuage VSP предусматривает механизмы интеграции аппаратных компонентов (таких, например, как серверы баз данных, межсетевые экраны, различные шлюзы). Для сценариев, не требующих высокой производительности, предлагается программный модуль VRS Gateway. Для ситуаций с большими объемами трафика разработан аппаратный шлюз 7850 VSG с производительностью более 1 Tбит/с, поддерживающий интерфейсы 1GE, 10GE и 40GE.
BROCADE: ВИРТУАЛИЗИРУЯ ФАБРИКУ И СЕТЕВЫЕ ФУНКЦИИ
С 2008 года в результате покупки Foundry Networks в линейке компании Brocade появились IP-решения, и сейчас в сферу ее интересов входят классические IP-маршрутизаторы L3, а также SDN, NFV и средства оркестрации облаков (автоматизация выделения ресурсов в облаке и управления ими). Последние реализуются Brocade по SAN и LAN в рамках проекта OpenStack. На семинаре компании Brocade, для которой решения,o ориентированные на ЦОД, имеют стратегическое значение, были представлены как уже успешно эксплуатируемые у заказчиков продукты, так и новые разработки.
«С появлением в нашей линейке продуктов Ethernet мы взяли лучшее из мира FC, объединили эти инструменты с технологиями Ethernet и получили Ethernet-фабрики — виртуальный распределенный Ethernet-коммутатор. Фактически это новый подход к построению сети передачи данных — с использованием одного логического коммутатора, управление которым осуществляется из единой точки, и при этом обеспечивается высокая степень автоматизации», — рассказывает Николай Умнов, генеральный управляющий Brocade в России и СНГ. Сейчас наряду с фабриками FC линейка Brocade включает в себя Ethernet-фабрики — основные ее решения для ЦОД.
Ethernet-фабрика Brocade VCS реализует виртуальный распределенный коммутатор уровня доступа и агрегирования. Она практически не требует настройки, поддерживая «самоформирование» и автообнаружение устройств в любой топологии, при этом управление ею осуществляется как одним виртуальным коммутатором. Для запуска фабрики достаточно задать ее домен и ID, а затем можно пользоваться единой консолью управления всеми коммутаторами.
Для повышения надежности поддерживается топология Full Mesh, благодаря чему работоспособность системы сохраняется даже при выходе из строя одного коммутатора. Кроме того, фабрика готова к конвергенции (FC 16 / FCoE 10 Гбит/с), поддерживает три уровня балансирования трафика и способна агрегировать (без предварительной настройки) большое число каналов. Благодаря покадровому балансированию обеспечивается равномерное распределение нагрузки между портами коммутаторов. С помощью протокола ECMP осуществляется балансирование между эквивалентными по стоимости путями, соединяющими конечные точки (независимо от числа транзитных узлов). А балансирование нагрузки между шлюзами VRRP-E L3 (до четырех шлюзов) улучшает масштабируемость и надежность решения.
Недавно появившаяся у Brocade технология дает возможность создавать «виртуальные фабрики» внутри VCS. Выделение логических фабрик для каждого пользователя в рамках разделяемой физической фабрики на основе TRILL Fine-Grained Labels (IETF draft) позволяет повторно задействовать VLAN. В рамках каждой физической фабрики поддерживается до 8000 виртуальных фабрик VCS.
Благодаря интеграции с VMware vCenter, Ethernet-фабрика может получать информацию о виртуальных машинах, их MAC- и IP-адресах, группах VLAN. Эта информация автоматически заносится в Ethernet-фабрику, и по умолчанию создаются «профили портов», к которым можно применять различные настройки — например, задавать качество обслуживания QoS. Система настраивается однократно — в дальнейшем фабрика сама применяет заданные политики по MAC-адресу, на каком бы из портов он ни был идентифицирован. Одна фабрика объединяет до 48 коммутаторов.
В последних версиях фабрики Brocade реализован VXLAN-шлюз VCS (VTEP) для VMware NSX — мост между виртуальными и физическими ресурсами. Его можно использовать для интеграции с классическими сетями, не поддерживающими VXLAN. Полная поддержка VCS реализована в коммутаторах Brocade VDX серии 6740 и маршрутизаторах 8770. В серии 6740 (SDN-ready) можно использовать протокол OpenFlow 1.3. Согласно планам Brocade, контроллер SDN появится на рынке к концу года. Он будет совмещать функции контроллера и коммутатора SDN, продолжая линейку VDX 6740. Протокол OpenFlow поддерживается также продуктами Brocade Fibre Channel.
По мнению аналитиков, в ближайшей перспективе будут развертываться преимущественно гибридные решения, совмещающие традиционную сетевую инфраструктуру и SDN, поэтому большинство коммутаторов SDN допускают программное переключение между SDN и коммутацией L2/L3. Тем самым снижаются риски внедрения новой технологии. Brocade предлагает свое решение. «В отличие от других вендоров компания разработала коммутаторы и маршрутизаторы с «гибридными портами», то есть они могут работать в смешанном режиме, поддерживая как традиционное управление, так и управление посредством контроллера SDN (см. Рисунок 4), — рассказывает Василий Солдатов, системный инженер Brocade, отвечающий за решения Ethernet. — Такой режим сейчас реализуется маршрутизаторами Brocade MLXe».
.png "Рисунок 4. Режим Hybrid Port на оборудовании Brocade обеспечивает совмещенное управление — традиционное и через контроллер SDN. Опционально между двумя режимами создается «защитный уровень».") |
| Рисунок 4. Режим Hybrid Port на оборудовании Brocade обеспечивает совмещенное управление — традиционное и через контроллер SDN. Опционально между двумя режимами создается «защитный уровень». |
SDN уже находит практическое применение. Так, у одного из заказчиков подобная система помогает снизить негативное влияние атак DDoS. Угрозы выявляются с помощью sFlow-RT (в режиме реального времени) и отправляются на коллектор, где обрабатываются программным обеспечением централизованного управления сетью Brocade Network Advisor, способным выступать также в качестве контроллера sFlow. Коллектор извещает контроллер, что нужно использовать правило OpenFlow DDoS на маршрутизаторе MLXe (см. Рисунок 5) для противодействия атаке DDoS.
.png "Рисунок 5. Смягчение атаки на границе ЦОД с Интернетом снижает зависимость от дорогих решений DDoS.") |
| Рисунок 5. Смягчение атаки на границе ЦОД с Интернетом снижает зависимость от дорогих решений DDoS. |
Наряду с SDN, в сетевой отрасли набирает популярность технология NFV. Она позволяет с помощью виртуализации консолидировать различные сетевые устройства (межсетевое оборудование, коммутаторы, маршрутизаторы, балансировщики нагрузки и т. п.) на стандартных серверах x86, что ведет к уменьшению стоимости и увеличению «живучести» систем. Перечисленные устройства становятся виртуальными (функционируют в виде ВМ), так что приобретать дорогое «железо» не требуется.
Тем временем Brocade уже предлагает виртуальный маршрутизатор Vyatta vRouter с функциями концентратора VPN с шифрованием IPSec и межсетевого экрана. Это относительно недорогое и гибкое решение для небольшой сети Ethernet дает возможность предоставлять сетевые функции «по запросу» и реализует маршрутизацию, межсетевой экран, VPN. Для развертывания таких ВМ можно использовать существующие стандартные серверы x86, способные успешно заменять специализированные системы, в том числе решения для инфраструктуры связи. vRouter интегрирован со стандартными оркестраторами (OpenStack).
Еще один виртуальный продукт Brocade — полнофункциональный балансировщик трафика приложений ADX. Будучи ключевым компонентом L4-L7 в NFV, он динамически балансирует трафик приложений и ускоряет запуск сервисов. Для целей централизованного управления предусматривается поддержка OpenStack и API. Виртуальный ADX можно развертывать в виде ВМ на сервере с гипервизором или без гипервизора, выделяя ему весь сервер.
Эти продукты позволяют гибко (по запросу) внедрять различные сервисы, однако пропускная способность у них несколько ниже, чем у физических устройств, — от 10 Мбит/с до 3 Гбит/с (ограничение зависит от лицензии, а не от быстродействия сервера). Продуктовая линейка Brocade, включая виртуальные устройства, поддерживает оркестрацию по протоколу OpenStack (через оркестраторы сторонних вендоров). Компания активно участвует в разработке стандартов OpenStack и предлагает расширения Dynamic Network Resource Management (DNRM) в рамках проекта Neutron, чтобы упростить построение мультивендорных сетей.
С увеличением объемов сетевого трафика и количества подключенных к сети устройств конфигурирование сетей и управление ими превращается в сложную задачу. Чтобы ее облегчить, требуются серьезные изменения в подходах к построению, эксплуатации сетей и управлению ими. Сетевая инфраструктура развивается и эволюционирует медленно, отставая от бурного развития средств виртуализации серверов и систем хранения, однако именно сети должны стать надежной и гибкой основой для среды облачных вычислений. В последние год-два в этой области наметился явный прогресс, а разработки в области NFV открывают для заказчиков перспективы перехода от аппаратных к виртуальным сетевым решениям с сохранением всех функций, присущих аппаратным продуктам.
Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: ab@lanmag.ru. Сергей Орлов — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.